大都会人寿某平台任意密码重置

2015-12-16 2,478
漏洞标题 大都会人寿某平台任意密码重置
相关厂商 中美联泰大都会人寿保险有限公司
漏洞作者 路人甲
提交时间 2015-10-08 14:47
公开时间 2015-11-22 14:48
漏洞类型 设计缺陷/逻辑错误
危害等级
自评Rank 10
漏洞状态 未联系到厂商或者厂商积极忽略
Tags标签

漏洞详情

地址:www.metlife.net.cn/admin/login

进入网站登录处点击忘记密码

http://www.metlife.net.cn/front/retrieve/retrievePwdPage

X(NCW6W}VJ8U%GJJNA1V~$F.png

@X__EGD7GE2)(1QCF7}Y~RG.png

点击获取验证码抓包改成自己的手机号

T5B{DVO]82I*_KJP8BK29M.png

再次抓包修改验证码和手机号

5SM_SS1L5[K(TRE)VCO8MC7.png

2XV@59%7N%F%A%}{O[DTK}M.png

漏洞证明:

帐号密码:admin wooyun123

进入后台

(TD}_ED}G$ICO5XG(JH@MEG.png

修复方案:

版权声明:转载请注明来源 路人甲@乌云

评论  (0)
快来写下你的想法吧!

Chloe O_o

文章数:38601 积分: 0

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号